Historische gegevens exporteren uit Splunk

In dit artikel wordt beschreven hoe u uw historische gegevens exporteert uit Splunk. Nadat u de stappen in dit artikel hebt voltooid, kunt u een doelplatform selecteren om de geëxporteerde gegevens te hosten en vervolgens een opnamehulpprogramma selecteren om de gegevens te migreren.

U kunt gegevens op verschillende manieren exporteren uit Splunk. Uw selectie van een exportmethode is afhankelijk van de betrokken gegevensvolumes en uw interactiviteitsniveau. Als u bijvoorbeeld één zoekopdracht op aanvraag via Splunk Web exporteert, kan dit geschikt zijn voor een export met een laag volume. Als u een hoger volume, geplande export wilt instellen, werken de SDK- en REST-opties het beste.

Voor grote exports is dump de meest stabiele methode voor het ophalen van gegevens of de OPDRACHTREGELinterface (CLI). U kunt de logboeken exporteren naar een lokale map op de Splunk-server of naar een andere server die toegankelijk is voor Splunk.

Als u uw historische gegevens uit Splunk wilt exporteren, gebruikt u een van de Splunk-exportmethoden. De uitvoerindeling moet CSV zijn.

CLI-voorbeeld

In dit CLI-voorbeeld wordt gezocht naar gebeurtenissen uit de _internal index die optreden tijdens het tijdvenster dat door de zoekreeks wordt opgegeven. In het voorbeeld wordt vervolgens opgegeven dat de gebeurtenissen in een CSV-indeling moeten worden uitgevoerd naar het data.csv-bestand . U kunt standaard maximaal 100 gebeurtenissen exporteren. Als u dit getal wilt verhogen, stelt u het -maxout argument in. Als u bijvoorbeeld instelt -maxout 0op , kunt u een onbeperkt aantal gebeurtenissen exporteren.

Met deze CLI-opdracht worden gegevens geëxporteerd die zijn vastgelegd tussen 23:59 en 01:00 op 14 september 2021 naar een CSV-bestand:

splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv  

voorbeeld van dump

Met deze dump opdracht exporteert u alle gebeurtenissen uit de bigdata index naar de YYYYmmdd/HH/host locatie onder de $SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ map op een lokale schijf. De opdracht gebruikt MyExport als voorvoegsel voor het exporteren van bestandsnamen en voert de resultaten uit naar een CSV-bestand. De opdracht partitioneert de geëxporteerde gegevens met behulp van de eval functie vóór de dump opdracht.

index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv 

Volgende stappen

• Selecteer een Azure-doelplatform om de geëxporteerde historische gegevens te hosten
• Een hulpprogramma voor gegevensopname selecteren
• Historische gegevens opnemen in uw doelplatform